宋才發(fā)

摘要：數(shù)據(jù)是信息的主要表現(xiàn)和轉(zhuǎn)換形式，數(shù)據(jù)共享已成為個人信息利用的一種極為快捷便利的有效方式。需要建立對個人信息嚴密保護的數(shù)據(jù)共享機制，建立以數(shù)據(jù)為核心的數(shù)據(jù)所有權保護制度，構建個人信息“權利束”保護的工具性體系。個人信息權保護的法律規(guī)制主要體現(xiàn)在四個方面：個人信息私法保護的法律規(guī)制，個人信息正當處置的法律規(guī)制，個人信息合法刪除的法律規(guī)制，侵害個人信息權益的法律規(guī)制。個人信息權保護的法治路徑集中反映在三個方面：對已經(jīng)公開的個人信息適用刑法保護，對侵犯個人信息的犯罪行為追究刑事責任，個人信息權益保護適用公益訴訟。

關鍵詞：個人信息；數(shù)據(jù)共享；信息權益；法律規(guī)制；法治路徑

中圖分類號：D912.1

文獻標識碼：A

文章編號：1673-8268（2022）05-0048-09

2022年6月22日，習近平總書記在中央全面深化改革委員會第二十六次會議上強調(diào)，要維護國家數(shù)據(jù)安全、保護公民個人信息數(shù)據(jù)安全，加快構建數(shù)據(jù)基礎制度體系［1］。在“十四五”規(guī)劃實施期間乃至更長的一段時期內(nèi)，我國要建立健全個人數(shù)據(jù)分類管理和分級確權授權使用制度體系，建立數(shù)據(jù)資源共享和數(shù)據(jù)產(chǎn)權制度體系，建立健全個人信息數(shù)據(jù)保護法規(guī)體系，完善數(shù)據(jù)全流程合規(guī)和監(jiān)管法律體系，把維護個人信息保護貫穿數(shù)據(jù)治理全過程。

一、個人信息及信息權保護制度釋義

（一）建立對個人信息嚴密保護的數(shù)據(jù)共享機制

數(shù)據(jù)是信息的主要表現(xiàn)和轉(zhuǎn)換形式。數(shù)據(jù)中囊括了大量“個人的信息和隱私，甚至涉及個人的敏感信息和核心隱私”［2］?！吨腥A人民共和國民法典》（以下簡稱“《民法典》”）第1032條規(guī)定：“自然人享有隱私權。任何組織或者個人不得以刺探、侵擾、泄露、公開等方式侵害他人的隱私權”；第1034條規(guī)定：“……個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息……”《民法典》第1034條規(guī)定：“自然人的個人信息受法律保護。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！蔽覈駛€人信息受《中華人民共和國憲法》（以下簡稱“《憲法》”）等法律保護。人們通常所說的“數(shù)據(jù)分享”，是指“數(shù)據(jù)控制者將自己所收集的信息與他人進行分享，在數(shù)據(jù)控制者與分享者之間形成的一種合同關系”［2］。我國已進入互聯(lián)網(wǎng)、大數(shù)據(jù)的新時代，數(shù)據(jù)共享已成為個人信息開發(fā)利用的一種極為快捷便利的有效方式。由于相關法律和行業(yè)規(guī)范還適應不了迅猛發(fā)展的大數(shù)據(jù)發(fā)展需要，實踐中個人信息被不正當使用甚至發(fā)生隱秘信息泄露事故，侵害信息權人隱私權和信息權益，包括不應有的經(jīng)濟損失和精神傷害。這表明，數(shù)據(jù)共享在對個人數(shù)據(jù)資料有效利用和推動知識創(chuàng)新的同時，也對個人信息保護帶來嚴峻的挑戰(zhàn)。數(shù)據(jù)共享是21世紀對個人信息數(shù)據(jù)收集、儲存和利用的渠道，也是不同機構、平臺之間進行信息數(shù)據(jù)交換的便捷方式。在互聯(lián)網(wǎng)上任何對數(shù)據(jù)的收集、傳輸行為一旦失控，都將導致大量的個人隱私和信息遭到不正當使用抑或泄露。在市場經(jīng)濟條件下數(shù)據(jù)共享的過程，實質(zhì)上就是對個人信息的再利用過程。對公民個人信息數(shù)據(jù)的開發(fā)利用，必須以個人信息數(shù)據(jù)的有效保護和合法處理為前提。大數(shù)據(jù)時代所開展的數(shù)據(jù)共享活動，在法律上是一種數(shù)據(jù)的開發(fā)與利用行為，屬于數(shù)據(jù)財產(chǎn)的合法利用和正當使用行為。因而數(shù)據(jù)共享既包括“有償共享”，也包括“無償共享”。依法依規(guī)維護信息權人對其合法信息的支配權，在本質(zhì)上就是維護私法自治權、維護公民個人的人格尊嚴。依據(jù)現(xiàn)行法律規(guī)定，凡屬于已經(jīng)向社會公開了的個人信息數(shù)據(jù)，他人抑或組織在共享和利用的時候，一般不應受到法律和有償?shù)闹萍s；各級政府向社會公開的各種信息數(shù)據(jù)，任何個人和組織都可以無償?shù)睾侠砝?，政府向社會提供信息服務是其行政職責。在政府擬公開的信息中，凡涉及需要對公民個人隱私權和信息數(shù)據(jù)予以保密的事項，政府有責任履行相應的法定保密義務，采取可靠的防護和安全保障措施，以防止個人保密信息發(fā)生不應有的泄露。同時還由于政府向社會公開的信息數(shù)據(jù)不涉及財產(chǎn)權的讓與問題，故政府不對所公開數(shù)據(jù)享有獨占性的權利［2］。

（二）建立以數(shù)據(jù)為核心的數(shù)據(jù)所有權保護制度

建立符合我國國情的數(shù)據(jù)所有權基本制度。中央全面深化改革委員會第二十六次會議強調(diào)指出：“數(shù)據(jù)作為新型生產(chǎn)要素，是數(shù)字化、網(wǎng)絡化、智能化的基礎，已快速融入生產(chǎn)、分配、流通、消費和社會服務管理等各個環(huán)節(jié)，深刻改變著生產(chǎn)方式、生活方式和社會治理方式?！保?］這就需要完善數(shù)據(jù)要素市場化配置機制，建立體現(xiàn)效率、促進公平的數(shù)據(jù)要素收益分配制度，加強重點領域執(zhí)法司法，把必須管住的堅決管到位［1］。數(shù)據(jù)是數(shù)字經(jīng)濟的關鍵性要素，數(shù)據(jù)信息是經(jīng)濟社會發(fā)展的新動能，催生了新產(chǎn)業(yè)新業(yè)態(tài)的發(fā)展新模式。我國要在“十四五”期間建立“雙循環(huán)”新發(fā)展格局，須臾離不開以數(shù)據(jù)為核心的資源要素的新循環(huán)與新配置“數(shù)據(jù)要素有助于提升資源配置效率，實現(xiàn)‘雙循環(huán)’新發(fā)展格局的供應均衡，構建和完善數(shù)字場景下的現(xiàn)代化全周期自主型生態(tài)產(chǎn)業(yè)鏈?！保▍⒁娡跻婷瘢骸蛾P于建立中國特色社會主義數(shù)據(jù)共有制的研究》，《行政管理改革》2022年第5期，第16-22頁）。《關于新時代加快完善社會主義市場經(jīng)濟體制的意見》提出，要“加強數(shù)據(jù)有序共享，依法保護個人信息”中共中央國務院《關于新時代加快完善社會主義市場經(jīng)濟體制的意見》提出要“加快培育發(fā)展數(shù)據(jù)要素市場，建立數(shù)據(jù)資源清單管理機制，完善數(shù)據(jù)權屬界定、開放共享、交易流通等標準和措施，發(fā)揮社會數(shù)據(jù)資源價值。推進數(shù)字政府建設，加強數(shù)據(jù)有序共享，依法保護個人信息”。（參見中共中央國務院：《關于新時代加快完善社會主義市場經(jīng)濟體制的意見》，《人民日報》2020年5月19日第1版）。數(shù)據(jù)信息作為與國際社會交流發(fā)展的關鍵要素，“正在超越土地、勞動力、資本成為核心的生產(chǎn)驅(qū)動力，成為經(jīng)濟社會高質(zhì)量發(fā)展的關鍵生產(chǎn)要素” ［3］?！吨腥A人民共和國數(shù)據(jù)安全法》（以下簡稱“《數(shù)據(jù)安全法》”）第7條規(guī)定，國家保護個人數(shù)據(jù)有關權益，保障數(shù)據(jù)依法有序自由流動《數(shù)據(jù)安全法》第7條規(guī)定：“國家保護個人、組織與數(shù)據(jù)有關的權益，鼓勵數(shù)據(jù)依法合理有效利用，保障數(shù)據(jù)依法有序自由流動，促進以數(shù)據(jù)為關鍵要素的數(shù)字經(jīng)濟發(fā)展。”。在數(shù)據(jù)保護權益體系領域內(nèi)，個人信息是個人在社會里標識自己、保護自己，建立自己與他人正當合法聯(lián)系的重要工具，也是社會組織了解和識別每一個具體個體開展活動的依據(jù)［4］。法律規(guī)定信息主體對自己的信息數(shù)據(jù)，享有占有、使用、收益和處分等權能，享有信息數(shù)據(jù)的人格權、知情權和控制權。法律同時還規(guī)定，收集和使用他人數(shù)據(jù)信息，必須獲得信息所有權人的許可或同意，否則就要承擔相應的違法侵權責任。凡違反法律、行政法規(guī)、部門規(guī)章有關公民個人信息保護的規(guī)定的，即為“違反國家有關規(guī)定”。我國已成為世界上第一個明確“將數(shù)據(jù)作為獨立生產(chǎn)要素納入國家發(fā)展戰(zhàn)略”的國家，傳統(tǒng)的財產(chǎn)權體系已經(jīng)不適合移植用來規(guī)范數(shù)據(jù)市場秩序。近年來不斷發(fā)生和出現(xiàn)的數(shù)據(jù)安全問題，既侵害了數(shù)據(jù)權人和消費者的合法權益，也危及了國家安全和社會公共利益。因而依據(jù)《民法典》和《數(shù)據(jù)安全法》規(guī)定，建立符合我國國情的數(shù)據(jù)所有權基本制度即“數(shù)據(jù)共有制度”刻不容緩。要通過數(shù)據(jù)共有制度明確數(shù)據(jù)確權和數(shù)據(jù)權利邊界，建立數(shù)據(jù)權利規(guī)則、規(guī)范數(shù)據(jù)交易過程，規(guī)制數(shù)據(jù)流通、數(shù)據(jù)許可行為；要建立一個合作、共治、負責任的數(shù)據(jù)規(guī)則體系，尤其要通過稅收手段和數(shù)據(jù)管理解決數(shù)據(jù)濫用問題，維護數(shù)據(jù)市場的公正和效率；要完善數(shù)據(jù)所有權保護制度、個人隱私權和個人信息權保護制度、數(shù)據(jù)生產(chǎn)要素按照貢獻大小參與分配制度。與此緊密相關的“禁止數(shù)據(jù)濫用”制度，是《民法典》第132條規(guī)定的一項民事權利規(guī)則《民法典》第132條規(guī)定：“民事主體不得濫用民事權利損害國家利益、社會公共利益或者他人合法權益。”。凡個人數(shù)據(jù)處理者和使用者違背“禁止數(shù)據(jù)濫用”規(guī)則，造成數(shù)據(jù)權利人損害的，必須承擔侵權責任。

（三）構建個人信息“權利束”保護的工具性體系

個人信息保護體系是個人信息的“權利束”。由《民法典》《中華人民共和國個人信息保護法》（以下簡稱“《個人信息保護法》”）規(guī)制的個人信息保護體系，本質(zhì)上就是一個受法律保護的個人信息“權利束”。這個“權利束”是指“包括個人信息主體知情、決定、查詢、更正、復制、刪除等權能在內(nèi)的一組權利集合”［5］?！皺嗬睂嵸|(zhì)上是民事主體對個人享有的信息權利，依法進行自我控制、自我保護、自主決定的一種手段?！秱€人信息保護法》這種“權利束”的科學設計體現(xiàn)出鮮明的公法屬性，因而被稱為“數(shù)字時代公法秩序的基石”［6］。在科技迅猛發(fā)展和知識大爆炸的21世紀，信息的產(chǎn)生和再生成本很低，應當將信息視為一種新型公共資源。一經(jīng)進入“公知領域”“共享領域”的個人信息數(shù)據(jù)，就成為任何人均可以合法使用的公共資源，這就從客觀上決定了個人數(shù)據(jù)信息具有公共性和共享性。然而問題也就來了：個人數(shù)據(jù)信息究竟是否應當由個人來控制？沒有經(jīng)過信息權人同意是否就一律不得使用？否則就構成對個人信息保護權的侵權？其實“個人控制在世界范圍內(nèi)并沒有上升為法律上的權利”［4］。因而單純靠個人的自我控制和自我保護是行不通的，“構造并且維系這個法秩序格局的主體只能是國家”［5］。權利束并不是一項先在的民事權利集合［5］，有必要對個人信息權利束的法理基礎進行合理的界定。依據(jù)實體性權利的定性處置原則，《民法典》在私法上所設計的個人信息“權利束”，就從“規(guī)制工具”上為個人信息民事權益保障機制的構建，尤其是從司法救濟途徑上為信息侵權的事后處置發(fā)揮了奠基性作用。國家賦予個人信息所有者制衡信息處理者的“規(guī)制工具”，有利于促使信息處理者正當傳輸和合規(guī)使用數(shù)據(jù)信息?！秱€人信息保護法》把個人信息權作為新興公法權利的思路，確立了完整的個人信息權利保護體系［6］。個人信息“權利束”作為公法上的“工具性權利”，意味著國家通過法律規(guī)制進行賦權和建立法秩序?！皺嗬惫ūＵ系幕緳嗄?，是為信息權利人提供基礎性的、防御性的程序保護，有利于形成個人信息的公法保護與民法保護機制協(xié)同，從體制機制上彌補民法個案救濟模式的不足。

二、個人信息權保護的法律規(guī)制

（一）個人信息私法保護的法律規(guī)制

個人信息的屬性需要有一個明確的法律定位，非此便無法從私法上予以規(guī)制?！睹穹ǖ洹返?11條保留了原《民法總則》的規(guī)定，體現(xiàn)了《民法典》對個人信息私法保護的延續(xù)性。針對《民法典》確立的信息主體基本權益，應當對那些未明確的公共場所中的個人信息權益，特別是“無意入境者”的個人信息權益作出區(qū)別界定［7］?！睹穹ǖ洹芬?guī)定自然人對個人信息的利用有知情同意權，對個人信息享有依法查閱和復制權。當發(fā)現(xiàn)個人信息有錯誤時，有向信息處理者提出異議、更正乃至刪除等權利。盡管《民法典》沒有使用“個人信息權”的法律用語，沒有像對待隱私權那樣苛刻嚴厲，但把它表述為“隱私權和個人信息保護”，這就從定性和定位上明確了個人信息的“權益”地位。這個規(guī)定不僅對個人信息保護具有里程碑意義，而且為《個人信息保護法》的制定出臺奠定了基礎?！秱€人信息保護法》規(guī)定了加密技術在個人信息保護中的作用，密碼的主要作用在于保護個人信息在網(wǎng)絡傳播中，免受截取、攻擊、篡改和冒用，我國已經(jīng)形成密碼領域的法律體系框架［8］。其實信息主體的許多損害是日積月累的結果。盡管信息主體無法指控每一個特定的損害者，但信息主體確實感受到個人隱私和個人信息遭受損害的苦惱以及危險性，事實上阻礙了社會成員之間的相互信賴和互動意愿，導致信息損害制度無法有效地實現(xiàn)應有的預防功能?！秱€人信息保護法》擴張了《民法典》個人信息的保護范圍，譬如，《個人信息保護法》第28條就比《民法典》第1034條擴張了許多新的內(nèi)容，增加了“生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡”等，體現(xiàn)了習近平“以人民為中心”的發(fā)展思想。在大數(shù)據(jù)時代，由于數(shù)字技術將個人信息數(shù)據(jù)化，個人信息與數(shù)據(jù)的關系在數(shù)字時代幾成一體［9］。因而信息權利人在日益喪失對自己信息的自主掌控和自主決定，信息控制者和信息處理者變得越來越具有權威性，需要盡快“構建個人信息權的完整體系”［10］。建議未來在相關法律修正的時候，確立抑或明確“個人信息權”的法律地位，給“個人信息權”一個確定的法律名分，這樣規(guī)制有利于加強法律對個人信息的保護力度和有效利用，使人民群眾在數(shù)字經(jīng)濟發(fā)展中享受更多的獲得感、幸福感、安全感［11］。

（二）個人信息正當處置的法律規(guī)制

全國人大常委會在《關于加強網(wǎng)絡信息保護的決定》中，正式使用和規(guī)定了“合法、正當、必要原則”。隨后，不僅《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《網(wǎng)絡安全法》做出了類似的規(guī)定，就連《民法典》和《個人信息保護法》也都做出了具體的法律規(guī)定。至此，“合法、正當、必要原則”，便成為個人信息處理的基本原則。其中，“合法原則”屬于信息處理的形式合法性范疇，“正當原則”屬于信息處理的合目的性原則，“必要原則”包括禁止過度損害和禁止保障兩個方面。在“十四五”規(guī)劃實施乃至更長的時期內(nèi)，要嚴格適用“合法、正當、必要原則”，即使是政府也不能以抽象的公共利益為名，隨意進行個人信息處理［12］。這樣做有利于彌補意思自治與契約自由的某些缺陷， 矯正個人信息處理者同信息所有者之間失衡的不平等態(tài)勢［12］，有效保護信息權人對其個人信息的“自主決定”權。《民法典》第1035條盡管沒有使用“知情權”“有權知悉”的表述，但是規(guī)定了處理個人信息的基本原則。隨后出臺的《個人信息保護法》第44條就對此做出了明確的法律規(guī)定：“個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理?！钡?條、第8條則更具體地規(guī)定：“處理個人信息應當遵循公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍?！薄睹穹ǖ洹泛汀秱€人信息保護法》的這些規(guī)制，都是為了“保護個人對其個人信息的自主決定”［13］。 “隱私權”與“個人信息保護”的本質(zhì)區(qū)別在于：隱私權為了保護個人生活的安寧而拒絕外人知曉自己的隱私，個人信息保護的目的不是為了拒絕外人知曉、不為人用，而是通過法律規(guī)定的“知情同意”途徑促進信息的融合利用。

（三）個人信息合法刪除的法律規(guī)制

“八二憲法”第38條規(guī)定“公民的人格尊嚴不受侵犯”［14］6，它事實上被賦予憲法基本權利一般條款的地位。我國人權條款于2004年入憲后，它便成為了基本的憲法權利，成為《個人信息保護法》“公民個人信息權的內(nèi)在根據(jù)”［6］?！睹穹ǖ洹返?037條規(guī)定“個人信息刪除權”，它既是人格權請求權的具體體現(xiàn)，也是實施目的限制原則的重要措施。如果屬于法律和行政法規(guī)規(guī)定的“保存期限”尚未屆滿，信息權人不得擅自行使刪除權，但信息處理者應當采取必要的安全保護措施；如果屬于信息處理者拒絕信息權利人行使刪除權請求的，信息權人可以向法院提起訴訟，以實現(xiàn)對刪除權的司法保護［15］。行使刪除權的主體是信息權利人，義務主體是個人信息處理者。有學者建議設置“個人信息遺忘權”，認為這是國際社會通行的做法。筆者認為在我國已經(jīng)設置“刪除權”的情勢下，沒有必要再規(guī)定“被遺忘權”［15］。盡管個人信息刪除權具有公法的屬性，侵害刪除權可能導致行政責任發(fā)生，但不宜據(jù)此將它認定為是公法上的權利。個人信息刪除權是私法救濟的權利，當信息權人遭受侵害時，可適用《民法典》的有關規(guī)定加以救濟［16］。《民法典》第1037條賦予信息權人“異議”和“更正”權，同樣是信息權人對其個人信息行使“自主決定”權的要素，也是當今國際社會通行的做法。譬如，歐盟《通用數(shù)據(jù)保護條例》不僅規(guī)定了“更正權”的具體內(nèi)容，而且規(guī)定了“更正權”中數(shù)據(jù)處理者的“通知責任”?！锻ㄓ脭?shù)據(jù)保護條例》的適用范圍，包括位于歐盟并處理個人信息的企業(yè)和常設機構，還包括在歐盟提供商品和服務并處理歐盟個人數(shù)據(jù)的非歐盟企業(yè)［10］。人們通常所說的個人信息“異議權”，是指信息權人對信息處理者所掌握的不正確、不全面的信息，有權提出異議并予以改正的權利［10］。從一定意義上說，個人信息異議、更正和刪除權的有效實現(xiàn)，既是合法處理和利用個人信息的先決條件，也是更好地、有效地維護個人合法權益的關鍵性要素。這里重點探討一下“個人數(shù)據(jù)刪除權”。信息權人啟動刪除權的一個最直接的動因，是個人信息權益遭遇到違法行為的嚴重侵害，或者事實上超越了事先約定的范圍，信息權人因之而要求信息處理者停止對信息的處理并予以刪除。信息處理者拒不刪除的，必須依法承擔侵權責任。信息處理者對信息權人個人信息超期保存，未履行刪除義務的也構成侵權?！秱€人信息保護法》第45條之所以規(guī)定查閱權和復制權

《個人信息保護法》第45條規(guī)定：“個人有權向個人信息處理者查閱、復制其個人信息”，“個人請求查閱、復制其個人信息的，個人信息處理者應當及時提供?！保且驗椴殚啓嗪蛷椭茩嗟恼斝惺?，是信息權人決定是否對個人信息實施更正、修改乃至刪除的根據(jù)。該法第17條規(guī)定信息處理者的“告知”義務，即信息處理者應當將對個人信息的處理情況及時告知信息權人。在數(shù)字化和數(shù)字經(jīng)濟時代，應當允許信息處理者根據(jù)情勢變更原則改變或增加新的處理目的，但是“應當重新取得個人同意”［12］。建議在未來法律修改時對“不同意就不提供服務”，強行“取得個人同意”等違反自愿原則的效力給予否定評價［17］?？傊秱€人信息保護法》完善了《民法典》“刪除權的請求情形并補充了例外規(guī)定，同時要求個人信息處理者建立個人行使權利的申請受理和處理機制，進一步完善了個人信息在信息處理中的權利”［13］。

（四）侵害個人信息權益的法律規(guī)制

《個人信息保護法》第73條規(guī)定的“個人信息處理者”，是指“在個人信息處理活動中自主決定處理目的、處理方式的組織、個人”?！扒趾€人信息權行為”，是指信息處理者侵害個人信息權益造成損害而應承擔民事責任的違法行為［18］?！秱€人信息保護法》第69條規(guī)定了侵權責任，即信息處理者處理個人信息造成個人信息權益損害的，應當承擔損害賠償?shù)惹謾嘭熑?/p>

《個人信息保護法》第69條規(guī)定：“處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑??！?。然而《個人信息保護法》除了第69條是明文規(guī)定的民事責任條款外，其他條款似乎沒有明確提到個人信息權益的民事責任問題［18］。其實《個人信息保護法》第69條只是規(guī)定了“侵權損害賠償責任”，關于個人信息權益保護民事責任規(guī)定，事實上已貫穿于這部法律的始終，需要依據(jù)《民法典》的規(guī)定對其予以解讀和細分［18］?！睹穹ǖ洹返?164條規(guī)定，民事責任保護對應的是權利人所享有的侵權請求權和人格請求權，主要是對個人信息權益遭受損失的經(jīng)濟賠償；人格請求權對應的民事責任是停止侵害、排除妨礙、消除危險、消除影響、恢復名譽、賠禮道歉。設置侵權請求權保護個人信息權益的主要目的是救濟損害，它的最大優(yōu)勢和特點是恢復民事權益的完滿狀態(tài)［18］。侵權責任的歸責原則是侵權法的靈魂和核心，是保護私權利與保障民事主體利益平衡的校正器。依據(jù)《民法典》第1165條、第1166條的規(guī)定，民事責任的歸責原則主要包括“過錯責任原則”“過錯推定原則”和“無過錯責任原則”三種。適用“過錯責任原則”的是一般侵權民事責任，適用“過錯推定原則”或者“無過錯責任原則”的，必須依照法律的特別規(guī)定進行，法律沒有明確規(guī)定的不可以適用?！睹穹ǖ洹泛汀秱€人信息保護法》依據(jù)個人信息權益保護的特別需要，規(guī)定對侵權責任者適用“過錯推定原則”；行為人有證據(jù)證明自己“沒有過錯”的，可以減輕或者免除侵權責任。

三、個人信息權保護的法治路徑

（一）已經(jīng)公開的個人信息適用刑法保護

我國法律規(guī)定的公開的個人信息，是指作為信息主體的自然人自行公開的個人信息抑或其他以合法方式予以公開的個人信息［19］。在實踐中很難準確地把握個人信息公開的合目的性。譬如，在過去的司法實務中，信息處理者通過某些公開渠道獲取公民個人信息，從中整理、篩選出個人信息加以出售的，常常被法院判決構成侵犯公民個人信息罪［20］。隨著信息處理技術的快速發(fā)展和普遍應用，從互聯(lián)網(wǎng)海量數(shù)據(jù)中收集、篩選、配對個人信息變得十分容易，被認定為非法獲取和處理的個人信息，很可能在客觀上已處于被公開的狀態(tài)。如果在信息已經(jīng)公開的狀態(tài)下，繼續(xù)對信息處理者科以合目的性要求和義務規(guī)定，有可能壓縮信息自由的空間，因而合理地界定處理已公開個人信息行為刑事責任邊界十分重要［20］。對已公開個人信息的刑事處理，對保護公民個人信息權益固然重要；但是它關涉到能否營造一種自由獲取、處理、流通信息的良好社會氛圍［20］。這里需要指出的是，隨著《民法典》的實施，司法機關對這個問題所持的態(tài)度和立場，已經(jīng)開始發(fā)生重大轉(zhuǎn)變。《民法典》第1036條規(guī)定，“合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息”，“行為人不承擔民事責任”；“但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外”?！秱€人信息保護法》第27條對已公開個人信息的處理，也做出了同樣的法律規(guī)定，所有這些都是需要在未來的刑事責任判斷中加以考慮的。我國學術理論界認為，在司法實踐中，權利人公開相關信息的目的不易確定，信息處理者獲取、提供、處理信息的目的也很難查明，要實現(xiàn)二者的契合更是難上加難［20］。即是說在個人信息已經(jīng)客觀公開的場合，是否需要對個人信息進行嚴格的實質(zhì)保護？是否需要繼續(xù)對這類行為進行嚴厲的刑事處罰？有必要依法弄清楚和回答，其侵犯了信息權人的何種法益［20］？因為信息公開不只是服務于某些公共利益，實際上也與信息自由緊密聯(lián)系在一起。在科學技術突飛猛進的大數(shù)據(jù)時代，公民個人信息實際上就是經(jīng)濟社會發(fā)展的核心競爭力。因此，不能過度壓縮其他公民自由獲取已公開信息的空間，對已公開信息的收集處理，客觀上帶來了很大的積極社會效益［20］。因而司法機關對侵犯公民個人信息罪的認定，需要堅持隱私權標準、識別性標準和個人信息權標準并舉?！叭绻淮_定統(tǒng)一標準，而是差異化對待獲取、處理、再次提供已公開個人信息等行為，可能會引發(fā)法律適用上的不統(tǒng)一?！保?0］司法機關判斷和處理已公開個人信息行為，到底是否構成侵犯公民個人信息罪？關鍵在于弄清楚該處理行為是否具有“非法性”以及是否“違反國家有關規(guī)定”［20］。這并不是法律和司法機關給信息處理者和信息獲得者頒發(fā)“免責令”和“免罪符”，而是通過平衡保護個人信息權和公眾信息自由的方式，盡量妥善地界定“合理處理”的實質(zhì)性內(nèi)涵?！睹穹ǖ洹返?036條與《個人信息保護法》第13條、第27條，分別從免責事由與個人信息處理規(guī)則的角度，對公開的個人信息處理做出了具體的規(guī)范。處理者只有合理處理公開的個人信息，才能免于承擔民事責任；除非法律或行政法規(guī)另有規(guī)定，其告知義務并不當然免除［19］。在“十四五”規(guī)劃實施期間乃至更長的時期內(nèi)，需要從個人層面、企業(yè)層面和社會層面多措并舉，創(chuàng)建打擊信息犯罪的新機制，增強針對性攻堅克難能力，以確保侵權救濟的實現(xiàn)［21］。

（二）追究個人信息犯罪的刑事責任

侵犯公民個人信息罪是典型的法定犯，理解構成侵犯公民個人信息罪的核心要素，是必須從概念上明晰侵犯的是“公民個人信息”?！吨腥A人民共和國刑法》（以下簡稱“《刑法》”）第253條之一的規(guī)定，從犯罪行為的性質(zhì)上，認定其為“向他人出售或者提供公民個人信息”［14］1589，使得侵犯公民個人信息犯罪的定性成為鐵板釘釘?shù)氖聦崱！缎谭ā返?53條之一的規(guī)定，又依據(jù)犯罪行為情節(jié)的輕重規(guī)定了定罪量刑的處罰標準

《刑法》第253條之一規(guī)定：“違反國家有關規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金?！?。這里問題的要害在于：如何對公民個人信息犯罪對象予以合理的闡釋和準確圈定？如何準確理解“情節(jié)嚴重”的基本含義？最高人民法院和最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱“《解釋》”），使這個問題得到初步解決。即是說《解釋》采取“混合認定模式”，從信息類型、信息數(shù)量、信息流向及信息用途、違法所得數(shù)額、主體身份、主觀要素等方面，對“情節(jié)嚴重”做出了具體定性和定量的規(guī)定?！秱€人信息保護法》以保護信息權利人人格權益為目的，在該法第13條和第72條規(guī)定，無論信息處理者是國家機關、法人組織抑或個人，也無論處理活動是屬于收集、存儲、使用、加工，還是傳輸、提供、公開、刪除等，只要不屬于《個人信息保護法》規(guī)定的排除情形，都必須遵守相關法律規(guī)定，只有在合理的范圍內(nèi)處理公開的個人信息，才能依法免除刑事責任追究。個人信息保護、網(wǎng)絡安全立法和司法解釋，從法律體系上已經(jīng)比較完備了。但是要真正使用好這個銳利武器，還有諸多理論和實踐上的問題需要深入探討。譬如，需要把“公開信息”和“關聯(lián)信息”區(qū)分開，如果把“關聯(lián)信息”也一股腦地納入刑法追究范圍，就會認定過寬而阻礙信息有效利用。又譬如，《刑法》第96條對“違反國家有關規(guī)定”的規(guī)制，明確規(guī)定其范圍為“違反全國人民代表大會及其常務委員會制定的法律和決定，國務院制定的行政法規(guī)、規(guī)定的行政措施、發(fā)布的決定和命令”［14］1567，但不包括部門規(guī)章。這就需要在司法實踐中，不斷加深對相關規(guī)制的理解、不斷完善定罪量刑標準［22］。如果繼續(xù)把部門規(guī)章也囊括進“國家有關規(guī)定”，勢必有違反《刑法》的謙抑性原則和罪刑法定原則之嫌［22］。《解釋》將違法所得5 000元以上規(guī)定為“情節(jié)嚴重”；將“造成被害人死亡、重傷、精神失常或者綁架等嚴重后果”，“造成重大經(jīng)濟損失或者惡劣社會影響”規(guī)定為“情節(jié)特別嚴重”［23］。侵犯公民個人信息所得信息的用途抑或目的，也是構成“情節(jié)嚴重”的重要要素，在一定范圍內(nèi)把主觀不法納入情節(jié)要素，有助于對刑法規(guī)范的解釋和適用［23］。

（三）個人信息權益保護適用公益訴訟

“法益保護”原則是《刑法》的核心概念，它既是刑罰規(guī)范的正當化基礎，也是刑法解釋的出發(fā)點。《刑法修正案（九）》以“侵犯公民個人信息罪”的罪名，取代原來的“出售或者提供公民個人信息罪”［14］1589和“非法獲取公民個人信息罪”［14］1589兩個罪名，進一步擴大了適用主體的范圍，這是我國立法在公民個人信息保護上的一大突破和跨越［24］。法益的《憲法》關聯(lián)性是說明《刑法》規(guī)范正當性的基礎，把《刑法》保護法益的概念與《憲法》基本權利的保護聯(lián)系起來思考，進而把《刑法》保護法益根植于《憲法》基本權利的保護，在當下是一種值得普遍提倡的方式。因為它“可以避免法益變成一個實定刑法下的概念，進而限制立法者對法益內(nèi)涵恣意創(chuàng)設的自由”［24］。個人信息權益兼具人格利益和財產(chǎn)利益、并存?zhèn)€人利益與公共利益，傳統(tǒng)的民事司法救濟方式很難解決這樣的棘手問題。于是《個人信息保護法》在第七章“法律責任”中，采取行政責任、刑事責任和民事責任相結合的辦法，為信息權益受害人提供全面的法律保護［25］。即是說，依據(jù)《個人信息保護法》第50條的規(guī)定，“個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制”。這條規(guī)定實質(zhì)上為個人信息權利保護，提供了一條新的救濟渠道。在個人信息處理者拒絕個人行使權利請求時，信息權益受害人“可以依法向人民法院提起訴訟”。在確定侵害個人信息的責任認定問題上，依據(jù)“過錯責任推定”原則的規(guī)定，如果侵權行為人不能證明自己的行為實屬“沒有過錯”的，應當承擔侵權賠償責任。因此，《個人信息保護法》第69條規(guī)定：“處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑??！薄睹穹ǖ洹穼€人信息侵權也采取了“過錯責任推定”的原則。采取“過錯責任推定”原則有利于減輕受害人的舉證負擔，也有利于強化信息處理者的舉證義務?！秱€人信息保護法》還引入了“公益訴訟制度”

《個人信息保護法》第70條規(guī)定：“個人信息處理者違反本法規(guī)定處理個人信息，侵害眾多個人的權益的，人民檢察院、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟?！?，這是對個人隱私和個人信息侵權予以救濟的重大制度創(chuàng)新。個人信息權益保護適用公益訴訟的重大制度安排，提升了個人信息保護的力度，從根本上解決了利用互聯(lián)網(wǎng)進行個人信息侵權的治理難題，為規(guī)范非法處理個人信息侵害眾多個人權益的行為提供了公益訴訟的法律依據(jù)［26］。在“十四五”期間乃至更長的時期內(nèi)，需要從救濟程序上建立健全相應的投訴處理機制，逐漸形成多維并進的程序救濟體系［27］。尤其要從侵權責任角度思考有條件承認“預期侵權制度”，正視和肯定被侵權的風險并予以賠償，以此完成個人信息侵權損害救濟［28］。需要明確地提醒和慎重指出的是行政責任、刑事責任的著眼點，是通過行政處罰抑或刑罰的途徑和方式，制裁實施違法行為侵害個人信息權益的組織或者個人，罰款、罰金等都不是對受到損害的個人的給付，而是依法上繳國庫。民事責任既為國家負責又為受害者負責，所有通過制裁手段獲得的財產(chǎn)賠償款直接給予受害人，以救濟和填補所遭受的財產(chǎn)損失和精神損害［18］。

參考文獻：

［1］習近平主持召開中央全面深化改革委員會第二十六次會議強調(diào) 加快構建數(shù)據(jù)基礎制度 加強和改進行政區(qū)劃工作［N］.人民日報，2022-06-23（1）.

［2］王利明.數(shù)據(jù)共享與個人信息保護［J］.現(xiàn)代法學，2019（1）：45-57.

［3］王益民.關于建立中國特色社會主義數(shù)據(jù)共有制的研究［J］.行政管理改革，2022（5）：16-22.

［4］高富平.個人信息保護：從個人控制到社會控制［J］.法學研究，2018（3）：84-101.

［5］王錫鋅.國家保護視野中的個人信息權利束［J］.中國社會科學，2021（11）：115-134.

［6］汪慶華.個人信息權的體系化解釋——兼論《個人信息保護法》的公法屬性［J］.環(huán)球法律評論，2022（1）：69-83.

［7］陳素素.“無意入鏡者”個人信息權益的保護——以公共場所的個人信息權益為視角［J］.法學雜志，2022（1）：149-161.

［8］劉晗.個人信息的加密維度：《密碼法》實施后的密碼應用與規(guī)制路徑［J］.清華法學，2022（3）：95-111.

［9］方志偉，王建文.從個人信息到數(shù)據(jù)要素：個人信息商業(yè)利用的制度安排——以《個人信息保護法》為中心［J］.廣東社會科學，2022（1）：239-248.

［10］申衛(wèi)星.論個人信息權的構建及其體系化［J］.比較法研究，2021（5）：1-13.

［11］中共中央黨史和文獻研究院.習近平關于網(wǎng)絡強國論述摘編［G］.北京：中央文獻出版社，2021：25.

［12］劉權.論個人信息處理的合法、正當、必要原則［J］.法學家，2021（5）：1-15.

［13］王利明，丁曉東.論《個人信息保護法》的亮點、特色與適用［J］.法學家，2021（6）：1-16.

［14］中華人民共和國常用法律大全［M］.12版.北京：法律出版社，2019.

［15］程嘯.論《個人信息保護法》中的刪除權［J］.社會科學輯刊，2022（1）：103-113.

［16］王利明.論個人信息刪除權［J］.東方法學，2022（1）：38-52.

［17］郭鋒，陳龍業(yè)，賈玉慧.《個人信息保護法》具體適用中的若干問題探討——基于《民法典》與《個人信息保護法》關聯(lián)的視角［J］.法律適用，2022（1）：12-22.

［18］楊立新.個人信息處理者侵害個人信息權益的民事責任［J］.國家檢察官學院學報，2021（5）：38-54.

［19］程嘯.論公開的個人信息處理的法律規(guī)制［J］.中國法學，2022（3）：82-101.

［20］王華偉.已公開個人信息的刑法保護［J］.法學研究，2022（2）：191-208.

［21］王灝.公民個人信息安全防控體系研究［J］.西南民族大學學報（人文社會科學版），2020（12）：82-87.

［22］韓嘯，張光順.侵犯公民個人信息罪犯罪對象研究［J］.河北法學，2021（10）：188-200.

［23］鄭旭江.侵犯公民個人信息罪的述與評——以《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》為視角［J］.法律適用，2018（7）：30-35.

［24］江海洋.侵犯公民個人信息罪超個人法益之提倡［J］.交大法學，2018（3）：139-155.

［25］王利明.《個人信息保護法》的亮點與創(chuàng)新［J］.重慶郵電大學學報（社會科學版），2021（6）：1.

［26］張新寶，賴成宇.個人信息保護公益訴訟制度的理解與適用［J］.國家檢察官學院學報，2021（5）：55-74.

［27］張陳果.個人信息保護救濟機制的比較法分析與解釋論展開［J］.蘇州大學學報（法學版），2021（4）：77-86.

［28］謝鴻飛.個人信息泄露侵權責任構成中的“損害”——兼論風險社會中損害的觀念化［J］.國家檢察官學院學報，2021（5）：21-37.

Legal Regulation and Rule of Law Path of PersonalInformation Protection

SONG Caifa

（Law School， Guangxi Minzu University， Nanning 530006， China）

Abstract：Data is the main form of expression and transformation of information. Data sharing has become a very fast and convenient way to use personal information. It is necessary to establish a data sharing mechanism that strictly protects personal information， establish a data ownership protection system with data as the core， and build an instrumental system for the protection of personal information “right bundles”. The legal regulation of the protection of personal information right is mainly reflected in four aspects： the protection of personal information by private law， the proper disposal of personal information， the legal deletion of personal information， and the infringement of right and interests of personal information. The rule of law path of the protection of personal information right is reflected in three aspects： the application of criminal law to protect the public personal information， the criminal responsibility of the criminal acts of infringing personal information， and the protection of right and interests of personal information through public interest litigation.

Keywords：personal information; data sharing; information right and interests; legal regulation; rule of law path

（編輯：刁勝先）